Убеждение в том, что хакеры постоянно совершенствуют свою тактику, было подтверждено после того, как было обнаружено, что новое поколение пользователей вредоносных программ использует тригонометрию, чтобы избежать обнаружения.
Исследователи кибербезопасности Outpost24 недавно проанализировали последнюю версию Lumma Stealer, известного вредоносного ПО-похитителя информации, способного получить доступ к паролям, файлам cookie, данным кредитных карт и данным, связанным с криптовалютными кошельками, хранящимися в популярных браузерах. Lumma предлагается как услуга за абонентскую плату от 250 до 1000 долларов.
В ходе анализа исследователи Outpost24 обнаружили, что четвертая версия Lumma имеет ряд новых методов обхода, которые позволяют ей работать вместе с большинством антивирусных служб или служб защиты конечных точек. Эти методы включают в себя запутывание потока управления, обнаружение активности человека и мыши, зашифрованные строки XOR, поддержку файлов динамической конфигурации и принудительное использование шифрования во всех сборках.
Использование движения мыши
Из этих методов обнаружение активности человека и мыши является наиболее интересным, поскольку оно позволяет информационному похитителю определить, работает ли он в антивирусной песочнице. Как объясняют исследователи, вредоносное ПО отслеживает положение курсора и записывает серию из пяти различных положений с интервалом в 50 миллисекунд. Используя тригонометрию, он затем анализирует эти положения как евклидовы векторы и вычисляет углы и векторные величины, которые формируют обнаруженное движение.
Углы вектора менее 45 градусов означают, что мышью управляет человек. Если углы выше, инфостилер предполагает, что он работает в «песочнице», и прекращает всю активность. Операции возобновятся, как только активность мышей снова будет классифицирована как человеческая.
По словам исследователей, порог в 45 градусов является произвольным, предполагая, что он, вероятно, основан на данных исследований.
Infostealers — популярный инструмент взлома, поскольку они позволяют злоумышленникам получить доступ к важным службам, таким как учетные записи социальных сетей или учетные записи электронной почты. Кроме того, украв банковские реквизиты или данные, связанные с криптовалютным кошельком, злоумышленники могут украсть средства и крипто-токены жертвы.
Над ПипКомпьютер
Больше от TechRadar Pro
